Waren früher oft nur Webseiten mittels HTTPS gesichert, auf denen sensible Daten übertragen werden, findet man heute kaum noch ungesicherte Inhalte im Netz – und das hat einen guten Grund.
Das HTTPS-Protokoll (Hypertext Transfer Protocol Secure) erlaubt den Aufbau von verschlüsselten Verbindungen im Internet. Die meisten Webdienste für Online-Banking, E-Commerce oder auch die Kommunikation per Chat oder E-Mail sind maßgeblich auf die kryptografische Technologie angewiesen. HTTPS schützt in diesen Anwendungen sensible Daten vor unberechtigtem Zugriff und Manipulation von außen.
HTTPS wird Standard
Noch vor wenigen Jahren setzten Webmaster die HTTPS-Technologie ausschließlich auf Webseiten ein, auf denen auch sensible Inhalte verarbeitet wurde, wie etwa beim Online-Banking oder im E-Commerce. Mittlerweile hat sich das verschlüsselte Übertragungsprotokoll allerdings als Standard im Internet durchgesetzt. Die meisten Seitenbetreiber sichern heutzutage ihren Online-Auftritt mit HTTPS ab – allein schon, um bei Google besser zu ranken. Der Suchanbieter forciert zusammen mit anderen Herstellern wie Mozilla oder Microsoft den Umstieg auf eine verschlüsselte Kommunikation im Netz. In den Browsern Chrome, Firefox und Edge sind daher ungeschützte Webinhalte als potenziell unsicher gekennzeichnet.
Alle Webdienste brauchen Schutz
Der Fokus auf eine verschlüsselte Kommunikation im Netz hat durchaus seine Berechtigung. Zwar verarbeiten nur die wenigsten Online-Portale hochsensible Inhalte, aber eine ungeschützte Webseite kann dennoch eine Gefahr für Besucher darstellen. Beispielsweise nutzen Cyberkriminelle unverschlüsselte Verbindungen, um zielgerichtet Verbindungen zu korrumpieren und auf modifizierten Webseiten Schadsoftware zu verteilen. Dafür kommen etwa Man-in-the-Middle-Attacken (MITM) zum Einsatz, bei denen sich die Angreifer zwischen Nutzer und den Webserver der jeweiligen Internetseite einschleusen und die Kontrolle über den Datenverkehr übernehmen.
Cyberkriminelle nutzen Schwachstellen gezielt
Oftmals bilden solche MITM-Attacken den Ausgangspunkt für weiterführende Angriffe auf das System des Webseitenbesuchers und das dahinterliegende Netzwerk. In Kombination mit anderen Angriffsvektoren wie Spear Phishing ist so auch die Infiltration von Unternehmen; Behörden und anderen Organisationen möglich. Um dieser Gefahr zu begegnen, sollten möglichst alle Webseiten und Dienste im Netz konsequent mit HTTPS verschlüsselt werden.
HTTPS-Überblick: Das steckt dahinter
Technisch handelt es sich bei HTTPS um die Kombination von herkömmlichen Verbindungen mittels HTTP (Hypertext Transfer Protocol) in Kombination mit Verschlüsselung und Authentifizierung via SSL/TLS (Secure Sockets Layer / Transport Layer Security). SSL und dessen Nachfolger TLS sichern als kryptografische Zusatzschicht den Traffic im Netz. In der Praxis kommt heutzutage nahezu ausschließlich TLS zum Einsatz. Dennoch hat sich im Sprachgebraucht die Verschlüsselungsmethode mit der Bezeichnung “SSL/TLS” eingebürgert.
Für die eindeutige Authentifizierung von Servern und Domains sind SSL-Zertifikate erforderlich, die Seitenbetreiber bei Zertifizierungsstellen (englisch: Certificate Authority (CA)) erhalten. Die Zertifikate stellen die öffentlichen Schlüssel für den Aufbau der gesicherten Sitzungen zur Verfügung. Sobald die Rechtmäßigkeit der Domain sichergestellt ist und die notwendigen Schlüsselpaare zwischen Client und Webserver ausgetauscht wurden, kann eine geschützte Verbindung im Internet aufgebaut werden. Das Abhören, Manipulieren oder Übernehmen solcher Sitzungen gestaltet sich für Angreifer um ein Vielfaches schwieriger als bei herkömmlichem HTTPS.
Hundertprozentige Sicherheit garantiert aber auch HTTPS nicht, denn vor Implementierungsfehlern und Schwachstellen ist SSL/TLS trotz aller Sorgfalt nicht gefeit. Außerdem nutzen ebenso Cyberkriminelle die Technologie, um ihre Malware- und Phishing-Angriffe zu verschleiern. Dennoch stellt HTTPS ein zentrales Puzzleteil für IT-Sicherheit im Internet dar, das alle Webmaster und Seitenbetreibern beachten sollten.
Hundertprozentige Sicherheit garantiert aber auch HTTPS nicht, denn vor Implementierungsfehlern und Schwachstellen ist SSL/TLS trotz aller Sorgfalt nicht gefeit. Außerdem nutzen ebenso Cyberkriminelle die Technologie, um ihre Malware- und Phishing-Angriffe zu verschleiern. Dennoch stellt HTTPS ein zentrales Puzzleteil für IT-Sicherheit im Internet dar, das alle Webmaster und Seitenbetreibern beachten sollten.
Myra vereinfacht das SSL/TLS-Management
Die Myra DDoS Protection filtert auch HTTPS-geschützten Traffic und erlaubt eine einfache Verwaltung der dafür benötigten TLS-Zertifikate. Darüber hinaus sorgen die Myra-Sicherheitsexperten mittels SSL-Cipher-Management dafür, dass die TLS-Konfiguration stets den aktuellen Sicherheitsstandards entspricht.
